Koncem minulého měsíce jsme vás informovali o bezpečnostní chybě v nástroji GateKeeper v macOS. Ten slouží mimo jiné k tomu, aby zabránil instalaci softwaru, jehož kód nebyl podepsaný společností Apple. Chybu odhalil bezpečnostní expert Filippo s tím, že podle jeho zjištění umožňuje obejít bezpečnostní nastavení GateKeeperu. Apple se však dosud neměl k její nápravě a na Cavallarinovy e-maily přestala odpovídat. To však byla chyba.
Fotogalerie
Netrvalo dlouho a bezpečnostní firma Intego přišla s hlášením o případu využití zmíněné zranitelnosti. Tým společnosti Intego, zaměřující se na výzkum malwaru, odhalil případ distribuce malwaru ve fázi příprav. K distribuci mělo dojít za použití obrazu disku. Ten měl buďto formátu ISO 9660 nebo dmg. Dmg je běžný formát souborů Apple Disk Image, často používaný u softwaru, určeného pro Mac. Je zajímavé, že u malwaru pro Mac se často používá spíše obraz disku ve formátu iso, zřejmě ve snaze obejít opatření antimalwarového softwaru.
Mohlo by vás zajímat
Společnost Intego prozkoumala celkem čtyři vzorky malwaru, zachyceného programem VirusTotal počátkem června. K jednotlivým nálezům došlo v horizontu několika hodin a všechny vedly k jedné specifické aplikaci na NFS serveru. Podle společnosti Intego se s největší pravděpodobností jedná o adware OSX/Surfbuyer. Obrazy disku se na první pohled „tváří“ jako instalační soubory Adobe Flash Playeru. Mezi tvůrci malwaru se jedná o poměrně běžnou taktiku, jak do Maců dostat škodlivý sofwtare.
Mohlo by vás zajímat
Zmíněné vzorky pouze vytvořily dočasný textový soubor. Vzhledem k tomu, že soubory *.app jsou v obrazech disků dynamicky propojené, může se kdykoliv snadno změnit jejich serverové umístění, aniž by bylo zapotřebí měnit obraz disku jako takový. Je tedy možné, že autoři již naprogramovali malware, který by v budoucnu nemusel být antimalwarem zachycen. Bezpečnostní experti proto doporučují instalovat aplikace výhradně z oficiální App Storu.
